Publicidade

Brecha em servidor expõe dados de milhares de sócio-torcedores do Palmeiras

Por| 05 de Fevereiro de 2020 às 20h40

Link copiado!

The Hack
The Hack

Uma brecha no servidor da página Avanti Palmeiras, plataforma online para venda de ingressos e adesão de sócio-torcedores, expôs dados de possivelmente mais de 53 mil usuários. O software, de propriedade da empresa Futebol Card, também é usado pelo Botafogo e pelo Sport, porém, aparentemente, somente o clube paulista teria sido afetado.

Segundo uma investigação do site brasileiro The Hack em parceria com a página norte-americana ZDNet, o problema aconteceu por conta de configurações inadequadas no ambiente em nuvem, baseado no Amazon Simple Storage Service (S3) — um dos serviços de armazenamento do Amazon Web Services. A vulnerabilidade teria acontecido porque os desenvolvedores esqueceram de especificar o grau de privacidade, o que deixou os arquivos com acesso público.

O The Hack conseguiu extrair quase 25 GB de dados em 1.640 planilhas em formato CSV, com nomes completos, CPF, datas de nascimento e de associação, gênero, estado civil, plano, forma de pagamento, recorrência de acertos, e-mail de cadastro, número de telefone, endereço completo, tamanho da camiseta e até mesmo comentários deixados pelos associados. Também foram obtidos detalhes sobre os cartões Mifare, usados na entrada da Arena Palmeiras, incluindo código, dígito e status (gerado, recebido, retirado, etc).

Continua após a publicidade

No total foram encontradas informações de 44 mil membros ativos em apenas um dos relatórios e 9,7 mil bloqueados em outro, mas, como alguns registros podem ter sido replicados em diferentes listagens, não dá para saber exatamente o número exato. O programa Avanti Palmeiras teria um total de 67 mil inscritos, dos quais 60 mil estariam com pagamento em dia.

Vazamento pode ser usado em golpes de phishing

O vazamento inclui material de marketing, como banners para mensagens eletrônicas, imagens promocionais, logotipos em alta resolução e favicons. Isso tudo permite que golpistas criem réplicas muito fieis de mensagens e páginas oficiais do clube, o que pode ludibriar mais facilmente os torcedores. Além disso, com todos esses dados detalhados em mãos, os criminosos podem entrar em contato com as vítimas e pedir pagamentos, realizar registros em serviços e gerar várias outras situações altamente personalizadas.

Continua após a publicidade

A Futebol Card foi notificada pelo The Hack, mas ainda não se pronunciou oficialmente, apenas configurou adequadamente o servidor, que agora está protegido. Não se sabe exatamente quantas pessoas puderam acessar esse conteúdo.

Palmeiras responde

O clube paulista emitiu um comunicado oficial sobre o caso nesta quarta-feira (5). Segundo a mensagem, a direção do time entrou em contato com a Futebol Card, que “assumiu uma falha na proteção de dados cadastrais dos torcedores do Palmeiras e de outros clubes”. A companhia que gerencia a plataforma negou que tenham vazado informações financeiras, como números de cartões de crédito.

Continua após a publicidade

“A FutebolCard garantiu que a falha foi corrigida assim que a informação foi recebida e se posicionará ainda nesta quarta sobre o fato”, complementa a nota.

Fonte: The Hack